寻找执行网站安全审计的工具
作者:Apeol Dan Arvic 提问时间:5/3/2021
我正在为客户建立一个网站。他要求我对网站进行安全审计。我没有安全审计方面的专业知识,而且预算很低。但是,我正在努力为我的客户提供最佳价值。有没有工具可以低成本地对网站进行安全审计?...
crlf 漏洞 问答列表
如何防止外部服务交互 (DNS)
作者:tim 提问时间:3/10/2021
漏洞修复的含义是什么以及如何实现它。请指教。谢谢。 (1)建议对允许的服务和主机实施白名单,并阻止任何未出现在此白名单上的交互。 (2) 建议阻止从应用服务器到其他内部系统的网络访问,并加固应用服...
输入验证和表示 - 标头操作:Cookie - C# Cookie - 标头
作者:Sayeed Ahmed 提问时间:6/1/2021
Fortify 报告了以下问题:输入验证和表示 - 标头操作:Cookie HttpApplication application = (HttpApplication)source; if (a...
如何允许换行符,但仍能防止CRLF攻击?
作者:now he who must not be named. 提问时间:2/14/2022
我已经在我的服务器上运行了安全扫描,并收到了一些 CRLF 漏洞利用警告。 因此,按照建议,我已经清理了所有查询参数输入,如下所示。 var encodedStringSafeFromCRLF =...
来自外部 jar 文件的 Java 漏洞问题
作者:JavaTechWith Ashish 提问时间:3/31/2022
我需要使用一些扫描工具修复在我的项目中发现的漏洞。 我遇到的问题是,漏洞位于外部/第三方 jar 文件中,并且它们已经处于更高版本。那么,是否有任何方法可以解决这些问题并在扫描工具中修复它?...
尝试修复源代码漏洞(CWE: 113);类别: 输入验证和表示 - 标头操作: Cookie
作者:user578219 提问时间:12/2/2022
我正在尝试修复我的 react 前端应用程序代码上的漏洞(CWE:113,详细信息在这里)。 也很难从工具的漏洞扫描消息中找到(在*.js文件的第 1 行上说): VULNERABILITY IN...
如何解决来自 pom、xml 的云防御严重性
作者:Krishna gaur 提问时间:2/16/2023
严重 - org.yaml:snakeyaml - 不正确的输入验证 脆弱性 危急 CWE-20型 CVE-2022-1471 漏洞 CVSS的 9.8 引入方式:org.yaml:snakeyam...
文本转语音键盘短暂显示黑客消息
作者:Cara Kintz 提问时间:11/17/2023
我一直在研究三星键盘和谷歌语音键盘都遇到的问题。当我启动语音转文本功能时,这两个键盘都会短暂地显示不适当的内容。 这些输入非常令人毛骨悚然,从嘿宝贝到高中女生等。我确实有一张截图。 您是否听说过文本...